Vous pouvez configurer Self Service+ (anciennement la barre de menus de l’app Jamf Connect) afin d’utiliser l’authentification Kerberos pour effectuer des changements de mot de passe directement dans Active Directory, plutôt qu’auprès d’un fournisseur d’identité (IdP) dans le cloud.
Self Service+ peut obtenir des tickets Kerberos pour l’authentification sur un domaine Active Directory si le mot de passe réseau de l’utilisateur correspond à son mot de passe Active Directory. Pour déterminer le nom d’utilisateur, Self Service+ utilise les caractères précédant le symbole « @ » dans le nom de connexion de l’utilisateur et ajoute le suffixe du domaine Kerberos.
Self Service+ est également en mesure d’obtenir un ticket Kerberos avant l’authentification réseau via un fournisseur d’identité (IdP). Pour configurer Self Service+ de sorte que Kerberos s’authentifie en premier, définissez l’option Workflow de modification du mot de passe (PasswordChangeWorkflow) sur Kerberos. Dans Expiration Kerberos (Timeout), vous pouvez également configurer un délai compris entre 1 et 60 secondes avant l’authentification réseau. Pour plus d’informations sur les réglages Kerberos disponibles dans Self Service+, consultez Réglages de Kerberos.
Self Service+ utilise un système de limitation de débit pour éviter les demandes Kerberos excessives avec certaines configurations qui surveillent les modifications de réseau. Le système autorise une demande par étape, par tranche de 30 secondes, 1 minute, 5 minutes, 10 minutes et 30 minutes. Après 10 minutes sans demande, le système revient à la première étape. Les administrateurs ne peuvent pas modifier la durée de chaque étape, définie par Jamf.
Lorsque configuré pour cela, Self Service+ interagit avec le domaine Active Directory de la manière suivante :
Self Service+ est capable d’identifier les sites disponibles. Il utilise une méthodologie de ping LDAP pour déterminer le meilleur site à utiliser. Self Service+ continue d’utiliser ce site jusqu’à ce qu’il ne puisse plus atteindre un contrôleur de domaine ou que le réseau change, ce qui réinitialise le processus de recherche des sites.
Self Service+ utilise les bibliothèques système Kerberos et LDAP pour s’assurer qu’elles sont mises à jour lorsque le système macOS est actualisé.
Self Service+ peut détecter les règles d’expiration des mots de passe et les appliquer lorsqu’un avis d’expiration de mots de passe s’affiche.
Self Service+ réévalue la connexion au domaine lors du démarrage et des modifications de réseau. Si cette option est configurée, vous pouvez également spécifier un intervalle, en minutes.